Команда Threat Hunter компании Symantec обнаружила, что по крайней мере один из филиалов операции BlackByte ransomware (Ransom.Blackbyte) начал использовать в своих атаках специальный инструмент для эксфильтрации данных. Эта вредоносная программа (Infostealer.Exbyte) предназначена для ускоренной кражи данных из сети жертвы и их загрузки на внешний сервер.
BlackByte - это программа-вымогатель как услуга, управляемая киберпреступной группой, которую Symantec называет Hecamede. Эта группа привлекла внимание общественности в феврале 2022 года, когда Федеральное бюро расследований США (ФБР) выпустило предупреждение, в котором говорилось, что BlackByte использовался для атак на множество организаций в США, включая организации как минимум в трех секторах критической инфраструктуры. В последние месяцы BlackByte стал одной из наиболее часто используемых полезных нагрузок в атаках вымогательского ПО.
BlackByte Ransomware IOCs
- BlackByte Ransomware IOCs
- BlackByte Ransomware IOCs - Part 2
- BlackByte Ransomware IOCs - Part 3
- BlackByte Ransomware IOCs - Part 4
BlackByte Ransomware
Инструмент эксфильтрации Exbyte написан на языке Go и предназначен для загрузки украденных файлов в облачный сервис хранения Mega.co.nz.
При запуске Exbyte выполняет ряд проверок на наличие признаков того, что он может работать в среде "песочницы". Это делается для того, чтобы усложнить исследователям безопасности анализ вредоносной программы. Для этого он вызывает API IsDebuggerPresent и CheckRemoteDebuggerPresent. Затем он проверяет наличие запущенных процессов от следующих приложений:
- MegaDumper 1.0 by CodeCracker / SnD
- Реконструктор импорта
- x64dbg
- x32dbg
- OLLYDBG
- WinDbg
- Интерактивный дизассемблер
- Отладчик иммунитета - [CPU]
Затем он проверяет наличие следующих файлов, связанных с антивирусом или песочницей:
- avghooka.dll
- avghookx.dll
- sxin.dll
- sf2.dll
- sbiedll.dll
- snxhk.dll
- cmdvrt32.dll
- cmdvrt64.dll
- wpespy.dll
- vmcheck.dll
- pstorec.dll
- dir_watch.dll
- api_log.dll
- dbghelp.dll
Далее Exbyte перечисляет все файлы документов на зараженном компьютере, такие как .txt, .doc и .pdf, и сохраняет полный путь и имя файла в %APPDATA%\dummy. Затем указанные файлы загружаются в папку, которую вредоносная программа создает на сайте Mega.co.nz. Учетные данные для используемого аккаунта Mega жестко закодированы в Exbyte.
Exbyte - не первый инструмент эксфильтрации данных, разработанный на заказ, который связан с операциями по борьбе с вымогательством. В ноябре 2021 года компания Symantec обнаружила Exmatter, инструмент эксфильтрации данных, который использовался операцией BlackMatter ransomware и впоследствии применялся в атаках Noberus. Другие примеры включают инструмент Ryuk Stealer и StealBit, который связан с вымогательской программой LockBit.
В недавних атаках BlackByte, расследованных Symantec, злоумышленники использовали уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE-2021-27065) в серверах Microsoft Exchange для получения первоначального доступа.
Symantec наблюдала, как злоумышленники использовали AdFind, AnyDesk, NetScan и PowerView перед развертыванием полезной нагрузки ransomware.
В последних атаках использовалась версия 2.0 полезной нагрузки BlackByte. При выполнении полезная нагрузка ransomware появляется для загрузки и сохранения отладочных символов от Microsoft.
Indicators of Compromise
URLs
- http://gfs204n140.userstorage.mega.co.nz/ul/_Amu75VCTCu6BgIdFs8ZgHPyHqBFm5Cj8bV1xkM5QFt2T0x-9C_KlHQAQ3kX4bzj8jgmyK9-dlbmx9ef6Y9JDw/1966080
- http://gfs206n108.userstorage.mega.co.nz/ul/aX72PSSxERHKJwLdWCCOmsJQRioP7N6kcAltRRTbAgwGtNzcsdYa_7HTb4ToVV_HcVPORXotYAF5WqFAsmAOKA/15204352
- http://gfs206n171.userstorage.mega.co.nz/ul/9Y39ts0Mp6xtige0-wHhmMG74YgASgG1UhZYfzl_fh8TN_TQo1gSa92TNe_HTBxvOTirA0yfouEE74-Y3Cy1Tw/81264640
- http://gfs208n174.userstorage.mega.co.nz/ul/z6nR8uTohiga4QeILJsXcAWlt05Vhu2XiDlne_Qag-rgAmZkK2aZMvYrWC5FHRebBpMoxYZEEqSStHyvU6SnWQ/6815744
- http://gfs214n129.userstorage.mega.co.nz/ul/wVJUlrn9bMLekALaMZx_o5FeK-U1oG9q4CWqHGNslUnVY2-BgJcEUxIJX9O4fXEWkt-x80LeAr7Jz9gXTCwzDA/2752512
- http://gfs262n303.userstorage.mega.co.nz/ul/f_re9dP6f9G8GAJhd3p43aJnvHnw7rCHLumJV-MXDlaL2RaSQQrPH1BYStJHWy4JkPgJ13KczuiJoOl0iwjxDA/15204352
- http://gfs270n392.userstorage.mega.co.nz/ul/PCfY6R3GKGjIEQK2tzWLODSlhG-h5NbxGHdNAToANCzjKK8Z6kdCiqshxM6ctHDKpLU09-YobgYybaQkCnpwnw/4718592
SHA256
- 0097b8722c8c0840e8c1a4dd579438344b3e6b4d630d17b0bbe9c55159f43142
- 1df11bc19aa52b623bdf15380e3fded56d8eb6fb7b53a2240779864b1a6474ad
- 20848d28414d4811b63b9645adb549eed0afbd6415d08b75b0a93fbf7cfbf21f
- 3fb160e1770fafeedff2d77841bf02108c25cca4cb6d77e3fbf759077f356b70
- 44a5e78fce5455579123af23665262b10165ac710a9f7538b764af76d7771550
- 477382529659c3452020170d8150820210ab8cbdc6417a0f0ac86a793cd0d9b4
- 4877ff7c3c2abd349646db1163814811e69b36374e289f5808cc794113ef55ae
- 572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b
- 754ac79aca0cc1bcf46000ef6c4cbe8bebeb50dae60823a1e844647ac16b6867
- 794a5621fda2106fcb94cbd91b6ab9567fb8383caa7f62febafcf701175f2b91
- aeb1b789395357e8cc8dbd313b95f624fc03e037984040cd7c1704775bfb4bd2
- eb24370166021f9243fd98c0be7b22ab8cbc22147c15ecef8e75746eb484bb1a
- efc2125e628b116eb0c097c699e473a47a280dfcd3e02cada41bdf6969600b41
- f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e
- f361bafcc00b1423d24a7ea205264f5a0b96011e4928d9a91c2abc9911b433a1